Rompiendo el eslabón más débil de la seguridad bancaria

Publicado el en Reflexiones, Seguridad por Jaime Gómez Obregón.

Hoy en día casi todos los procesos cotidianos que afectan a la privacidad y a los datos personales de los ciudadanos están regulados legalmente. Y los historiales clínicos de los pacientes de los hospitales o las transacciones bancarias en las entidades financieras no son una excepción.

El legislador protegió con mucho celo todas las instancias de la privacidad de los ciudadanos. Aunque masivamente incumplida, la Ley Orgánica de Protección de Datos Personales (LOPD) es un buen ejemplo de ello desde la definición misma de lo que es un dato de carácter personal: "cualquier información concerniente a personas físicas identificadas o identificables".

El resto del articulado no es menos paternalista respecto al uso que las empresas e instituciones hacen de los datos personales de los ciudadanos: "Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan" (artículo I-51).

Para garantizar el cumplimiento de esta ley las instituciones y las empresas han ido adaptándose a las resoluciones de la Agencia Española de Protección de Datos (AEPD).

A veces sucede, sin embargo, que todos estos esfuerzos técnicos y organizacionales se ven comprometidos porque no se ha tenido el mismo celo en todos los eslabones de la -a veces muy larga- cadena de manipulación de datos personales. Una cadena es tan fuerte como su eslabón más débil: aquel que primero se romperá ante un esfuerzo o estrés capaz de hacerlo vencer. Por eso, un eslabón débil compromete toda la seguridad de la cadena, y de nada sirve una seguridad reforzada en unos eslabones si ésta no se extiende por igual a todas y cada una de las piezas del sistema que son parte componente.

Le comentaba esto a un amigo mientras hablábamos de las férreas condiciones técnicas y de seguridad informática que las instituciones ponen en los pliegos de los concursos tecnológicos relacionados con el tratamiento de los historiales clínicos de los pacientes de los hospitales. El tratamiento de estos datos sanitarios se blinda tecnológicamente para que, como es natural, un fallo técnico o humano no exponga datos confidenciales de muchos ciudadanos a miradas curiosas o malintencionadas.

Los mismos médicos, según leía en ese pliego técnico, necesitan de certificados criptográficos personalizados para acceder remotamente a las historias clínicas de sus pacientes, de manera que el tráfico de los datos personales, aún viajando a través de la Red y sus "peligros", se hace siempre de manera segura y encriptada.

Mi interlocutor echó por tierra toda esta implementación tecnológica con este comentario: "Pues de poco sirve toda esa confidencialidad en el tratamiento de los datos si luego sucede, como me ha ocurrido a mi el otro día, que el médico de cabecera se confunde con los expedientes y entrega mis datos a otro, y a otro mis datos".

Una buena -y costosa- cadena se había partido por el último eslabón, el más débil.

En el ámbito bancario, donde la seguridad de las transacciones económicas es quizás mayor o más espectacular, hoy hemos visto también como un eslabón débil traicionaba la seguridad y la fortaleza de una larga cadena.

Acudimos al una conocida entidad financiera de la región, cuyo nombre no revelaremos para mantener la emoción, y también para preservar el caracter constructivo, instructivo y -por qué no-, divertido de este artículo. Solicitamos en una oficina de esta entidad unos documentos bancarios, pero en formato digital, pues el destino de esos extractos era ser luego importados en una aplicación de contabilidad informática, y los tradicionales listados en papel no son la mejor opción en este caso.

Tomaron nota del pedido y unos días después teníamos un disquete que habían grabado en la oficina central de la entidad, y que contenía los documentos solicitados. Por la pinta que tenía (ver imagen adjunta), parece que ese disquete se había curtido en muchas batallas ya. A pesar de que nos cobraron por un disco amarillento, sucio, con la etiqueta malamente arrancada, tip-ex por encima e inscripciones a bolígrafo, no protesté y me lo llevé a la oficina.

Disquete que nos entregó el banco/caja

"¡Ay, si los disquetes hablaran!", pensé mientras buscaba un ordenador con disquetera, pues ninguno de los ¿diez? que tengo que usar a diario tienen ese artilugio jurásico. Finalmente me hice con una disquetera, copie mis documentos y después me entretuve leyendo sector a sector las interioridades del disquete. ¿Se rompería la cadena de la confidencialidad bancaria?

Efectivamente el disquete hablaba: allí estaban mis datos bancarios, pero también datos de otras personas o empresas que yo no conocía, en el formato Q43 (información normalizada de cuenta corriente) que se suele utilizar en estos casos. Por reutilizar un disquete en vez de grabar uno nuevo, o por no formatear correctamente el anterior, los datos personales de otro cliente estaban ahí visibles, expuestos.

Datos de otro cliente, visibles en el disquete

Nombres propios, transacciones bancarias, importes... Tampoco le he prestado mayor atención, pero creo que se trata de las cuentas de una empresa de limpiezas y jardinería de la región.

No es razonable pedir a un sistema que sea tecnológicamente inexpugnable, pero tampoco es serio blindar una puerta pero dejar abierta la ventana. A veces tenemos el eslabón más débil de la cadena delante de nuestras propias narices.